इस हफ्ते क्रिप्टो में एक दुर्लभ सुखद मोड़ आया, जहां एक उपयोगकर्ता ने वॉलेट बग के कारण खोए हुए 100 ETH को पुनः प्राप्त कर लिया।
यह रिकवरी Safe Wallet टीम की कार्रवाई और Protofire के व्हाइट-हैट डेवलपर्स की दूरदर्शिता के कारण संभव हुई।
वॉलेट बग से 100 ETH खोया—फिर शानदार रेस्क्यू में वापस मिला
यह घटना तब सामने आई जब लंबे समय से Ethereum उपयोगकर्ता khalo_0x ने X (Twitter) पर Ethereum Mainnet से Base blockchain पर 100 ETH ब्रिज करने का प्रयास किया। उन्होंने आधिकारिक Safe Wallet Bridge इंटरफेस का उपयोग किया।
वर्तमान दरों पर, जब ETH $2,635 पर ट्रेड कर रहा है, यह ट्रांसफर $263,500 से अधिक का था।
उन्हें पता नहीं था कि ब्रिज टूल में एक महत्वपूर्ण उपयोगकर्ता अनुभव बग ने ट्रांसफर को एक स्मार्ट कॉन्ट्रैक्ट वॉलेट में अनुमति दी, जो उनका प्रतीत हो रहा था।
हालांकि, इस वॉलेट को एक अलग इकाई द्वारा नियंत्रित किया गया था।
इस समस्या की जड़ Khalo के Safe के पुराने संस्करण (v1.1.1) के उपयोग में थी, जिसे 2020 में डिप्लॉय किया गया था। यह लेगेसी संस्करण मल्टीचेन विचारों से पहले का था और इसमें वे सुरक्षा उपाय नहीं थे जो अब नए संस्करणों में मानक हैं।
परिणामस्वरूप, एक हमलावर, या ऐसा प्रतीत होता था, ने पहले से ही Khalo के वॉलेट पते की एक कॉपी Base पर डिप्लॉय की थी, लेकिन एक अलग मालिक कॉन्फ़िगरेशन के साथ। इसके साथ, उन्होंने प्रभावी रूप से फंड्स को हाइजैक कर लिया जैसे ही वे ब्रिज किए गए।
“मैंने कल रात Safe का उपयोग करते हुए एक क्लिक में अपनी जीवन भर की बचत खो दी। यह 8 साल तक ETH होल्ड करने और स्कैम्स से बचने के बाद हुआ। आधिकारिक ब्रिज फीचर में एक UX बग ने संकेत दिया कि गंतव्य पता मेरा Safe on Base था। ऐसा नहीं था,” Khalo ने एक पोस्ट में शिकायत की।
इस ट्वीट ने क्रिप्टो समुदाय का ध्यान आकर्षित किया, जिसमें Safe टीम भी शामिल थी। बिल्डर Tschubotz.eth ने जांच की और पाया कि Base पता जो ब्रिज किए गए ETH को नियंत्रित कर रहा था, वह वास्तव में दुर्भावनापूर्ण नहीं था।
पुरानी वॉलेट वर्जन से क्रॉस-चेन एक्सप्लॉइट का खतरा
इसके बजाय, इसे Protofire द्वारा तैनात किया गया था, जो एक व्हाइट-हैट डेवलपमेंट फर्म है, जिसने ब्लैक-हैट अटैकर्स को ऐसा करने से रोकने के लिए Base पर सैकड़ों Safe v1.1.1 वॉलेट्स को सक्रिय रूप से तैनात किया था।
“EOAs (Externally Owned Accounts) के विपरीत, Safe जैसे स्मार्ट अकाउंट्स तैनात स्मार्ट कॉन्ट्रैक्ट कोड द्वारा शासित होते हैं। तकनीकी रूप से, एक ही तैनाती कॉन्फ़िग (एक ही साइनर्स) के साथ विभिन्न चेन पर एक ही पते पर एक स्मार्ट अकाउंट तैनात करना संभव है (counterfactual तैनाती का उपयोग करके)… लेकिन यह मामला अलग था… उस समय का स्मार्ट अकाउंट संस्करण (v1.1.1.) अभी तक मल्टीचेन के लिए नहीं लिखा गया था, इसलिए किसी के लिए भी एक अलग चेन पर एक पूरी तरह से अलग कॉन्फ़िग के साथ एक स्मार्ट अकाउंट को एक ही पते पर तैनात करना संभव था,” Safe के सह-संस्थापक Lukas Schor ने समझाया।
Khalo की पहचान की पुष्टि करने पर, Protofire ने तुरंत पूरे 100 ETH वापस कर दिए। एक सफल पूर्ण ट्रांसफर ने एक परीक्षण लेनदेन का अनुसरण किया, जिससे संकट कुछ ही घंटों में हल हो गया।
“यह सबसे कूल क्रिप्टो स्टोरी में से एक है जो मैंने कुछ समय में देखी है,” Dragonfly के मैनेजिंग पार्टनर Haseeb Qureshi ने कहा।
यह घटना मल्टीचेन इकोसिस्टम में क्रिप्टो वॉलेट्स के उन्नत होने के साथ बेहतर उपयोगकर्ता सुरक्षा की तत्काल आवश्यकता को उजागर करती है।
Safe का अपडेटेड संस्करण v1.2.0 अब इस प्रकार के एक्सप्लॉइट के खिलाफ सुरक्षा शामिल करता है, जो कॉन्ट्रैक्ट तैनाती के दौरान CREATE2 सॉल्ट की गणना को बदलकर किया गया है।
ब्रिज टूल को भी अपग्रेड किया गया है ताकि यदि गंतव्य पते पर विरोधाभासी स्मार्ट कॉन्ट्रैक्ट कोड मौजूद हो तो चेतावनी जारी की जा सके।
फिर भी, यह घटना एक गंभीर अनुस्मारक है कि उपयोगकर्ता सूक्ष्म, गैर-स्पष्ट बग्स के प्रति संवेदनशील बने रहते हैं।
“…हम अभी भी उस बिंदु पर हैं जहां उपयोगकर्ताओं से अपेक्षा की जाती है कि वे बड़े फंड्स को स्थानांतरित करने से पहले परीक्षण लेनदेन करें।,” Schor ने जोड़ा।
प्रारंभिक आघात के बावजूद, Khalo की स्टोरी उनके फंड्स के पुनर्स्थापित होने के साथ समाप्त हुई।
अस्वीकरण
हमारी वेबसाइट पर सभी जानकारी अच्छे इरादे से और केवल सामान्य सूचना के उद्देश्य से प्रकाशित की जाती है, ताकि पाठक जागरूक रह सकें। हमारी वेबसाइट पर दी गई जानकारी के आधार पर पाठक द्वारा की गई प्रत्येक कार्रवाई पूरी तरह से उनके अपने जोखिम पर होती है।
